BitLocker to wbudowane w Windows narzędzie do pełnego szyfrowania dysku, które chroni dane na wypadek kradzieży, zgubienia sprzętu lub nieautoryzowanego dostępu.
Co to jest BitLocker?
BitLocker to funkcja systemu Windows (od czasów Windows Vista), która szyfruje całe woluminy – systemowy i/lub dodatkowe partycje. Oznacza to, że zaszyfrowane są pliki użytkownika, system operacyjny oraz pliki tymczasowe, a dostęp do danych wymaga poprawnego uwierzytelnienia przy starcie. BitLocker wykorzystuje algorytm Advanced Encryption Standard (AES) z kluczem 128- lub 256‑bitowym, co jest obecnie standardem w rozwiązaniach klasy enterprise. Najczęściej współpracuje z modułem TPM (Trusted Platform Module), który bezpiecznie przechowuje klucze i weryfikuje integralność środowiska startowego. Funkcja jest dostępna w wybranych edycjach Windows 10/11 (m.in. Pro, Enterprise), a na wielu nowych laptopach szyfrowanie potrafi włączyć się automatycznie w ramach „device encryption”.
BitLocker dla mniej doświadczonych użytkowników
Dla osoby, która na co dzień nie zajmuje się bezpieczeństwem, BitLocker ma jedno główne zadanie: jeśli ktoś ukradnie laptopa lub zgubisz pendrive’a/SSD z danymi, złodziej nie odczyta plików bez hasła lub odpowiedniego klucza. Szyfrowanie działa w tle – po włączeniu BitLockera korzystasz z systemu tak samo jak wcześniej, a różnica polega na tym, że zawartość dysku jest zaszyfrowana i nieczytelna „na zimno”.
Kilka praktycznych wskazówek dla mniej technicznych:
- Kiedy warto włączyć BitLocker: gdy na laptopie są dane firmowe, dokumenty z PESEL-em, hasła zapisane w przeglądarce, poczta czy pliki finansowe.
- Co musisz zapamiętać: podczas uruchamiania BitLocker wymusza utworzenie klucza odzyskiwania (48‑cyfrowy kod) – zapisz go i przechowuj w bezpiecznym miejscu (konto Microsoft, wydruk, pendrive).
- Co z wydajnością: na współczesnym sprzęcie spadek wydajności jest zwykle niewielki i dla typowego użytkownika praktycznie niezauważalny.
- Czy to komplikuje codzienną pracę: jeśli wszystko jest dobrze skonfigurowane, logujesz się do Windows jak zawsze (hasło, PIN, Windows Hello), a BitLocker działa „pod spodem”.
Przykład: masz laptopa z Windows 11 Pro, którego nosisz do pracy i w podróże – po włączeniu BitLockera, utrata sprzętu nie oznacza automatycznej utraty danych, co często jest ważniejsze niż sam koszt urządzenia.
BitLocker dla zaawansowanych użytkowników
Dla osób technicznych BitLocker to pełne szyfrowanie wolumenów z opcją granularnej konfiguracji mechanizmów ochrony klucza i scenariuszy rozruchu. Domyślnie wykorzystuje AES w trybie XTS z kluczami 128/256‑bit, a w środowiskach firmowych daje się spiąć z Active Directory lub Entra ID/Intune do centralnego zarządzania politykami i kluczami odzyskiwania.
Wybrane aspekty techniczne:
- Wymagania: TPM 1.2+ (rekomendowane TPM 2.0), firmware UEFI/BIOS zgodny z TCG i łańcuchem zaufanego rozruchu.
- Tryby uwierzytelniania: TPM only, TPM+PIN, TPM+USB startup key, a także scenariusze bez TPM z kluczem startowym na USB.
- Zarządzanie: w wersjach Pro/Enterprise dostępne są GPO, MDM (CSP BitLocker) oraz integracja z AD/Entra ID do escrow kluczy, egzekwowania długości PIN, trybu szyfrowania i wymuszenia szyfrowania dysków systemowych oraz danych.
- Architektura: dla woluminu systemowego wymagany jest niezaszyfrowany mały partycjonowany wolumin rozruchowy, z którego startuje OS, a właściwy wolumin systemowy jest szyfrowany.
Zaawansowani użytkownicy mogą też zarządzać BitLockerem z linii poleceń (manage-bde, PowerShell), automatyzować wdrożenia i integrować go z procesem instalacji systemów w organizacji.
Jak radzić sobie w trudnych sytuacjach
Najczęstszy „kryzys” z BitLockerem to nagłe żądanie klucza odzyskiwania przy starcie, np. po zmianie sprzętu, aktualizacji firmware, podłączeniu/odłączeniu dysku lub manipulacji w BIOS/UEFI. W takich sytuacjach klucz odzyskiwania jest absolutnie niezbędny – bez niego dane pozostają nieodwracalnie zaszyfrowane.
Szczegółowy poradnik znajdziesz w osobnym artykule: Odzyskiwanie klucza krok po kroku
